uff Опубликовано 17 Июня 2018 Жалоба Поделиться Опубликовано 17 Июня 2018 Интерфейсы координатора находятся в анонсированных сетях. Как разрешить доступ к координатору HW1000 v.3.5 клиентов VipNet только из определенных сетей (диапазона реальных ip адресов)? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Wild Опубликовано 18 Июня 2018 Жалоба Поделиться Опубликовано 18 Июня 2018 Вообще логика не понятна. Если Вы не хотите, чтобы пользователи подключались к координатору, может и не стоит ставить на них клиентское ПО? А вообще, если действительно на ПК стоят Клиенты ViPNet, фильтр защищенной сети Вам в помощь. Чтобы не было возможности использовать виртуальные адреса, блокируйте по ID узла. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
uff Опубликовано 18 Июня 2018 Автор Жалоба Поделиться Опубликовано 18 Июня 2018 2 часа назад, Wild сказал: Вообще логика не понятна. Если Вы не хотите, чтобы пользователи подключались к координатору, может и не стоит ставить на них клиентское ПО? Логика простая: Настроить координатор так, что бы он блокировал закрытые пакеты клиентов, если их переставят на ПЭВМ из сети, отличной от подсети координатора. 2 часа назад, Wild сказал: А вообще, если действительно на ПК стоят Клиенты ViPNet, фильтр защищенной сети Вам в помощь. Чтобы не было возможности использовать виртуальные адреса, блокируйте по ID узла. Настраиваем координатор, фильтр защищенной сети ViPNet клиентов не трогаем. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 18 Июня 2018 Жалоба Поделиться Опубликовано 18 Июня 2018 20 минут назад, uff сказал: Настроить координатор так, что бы он блокировал закрытые пакеты клиентов, если их переставят на ПЭВМ из сети, отличной от подсети координатора. ViPNet так не работает: открытая часть IP-пакета - просто конверт, в который упакованы данные защищённой сети. Доверять этому конверту нельзя, поэтому данные конверта не анализируются каким-либо специальным образом. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
uff Опубликовано 18 Июня 2018 Автор Жалоба Поделиться Опубликовано 18 Июня 2018 А антиспуфинг не поможет? Или какая нибудь другая фича? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 18 Июня 2018 Жалоба Поделиться Опубликовано 18 Июня 2018 Антиспуфинг это если Вам через внешний интерфейс начнут присылать пакеты с адресами из внутренней сети. В Вашем случае адрес будет также маршрутизируемым, т.е. антиспуфинг не сработает. Как уже верно было сказано ip-адрес из открытой части пакета можно легко подменить, поэтому координатор его не проверяет сколь-нибудь тщательно. Но если хочется обеспечивать такую фильтрацию, то без установки дополнительного МЭ не обойтись. Также можно использовать ПО ViPNet Statewatcher и правила, по которым он будет сигнализировать об изменении ip-адресов у клиентов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 18 Июня 2018 Жалоба Поделиться Опубликовано 18 Июня 2018 1 час назад, uff сказал: А антиспуфинг не поможет? Или какая нибудь другая фича? Если вам вообще не требуется межсетевой обмен или этот конкретный координатор в не участвует в межсетевом обмене, то можно запретить ViPNet-трафик (IP/241 и UDP на порт инкапсуляции), если IP-адрес источника не находятся в подсетях координатора. Только это будут правила открытой сети. Их работоспособность зависит от порядка обработки пакетов и, соответственно, может потребовать отдельного межсетевого экрана, создать разные глюки и, тем не менее, не позволить достигнуть конечной цели. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 19 Июня 2018 Жалоба Поделиться Опубликовано 19 Июня 2018 Zero все верно расписал, решали такую задачу, поможет только промежуточный МЭ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.